آقای نصیری فک میکنم تو چک لیست اول یک برنامه نویس حتما اینترنت پرسرعت وجود داره! اینجا که افراد عادی رفت و آمد نمیکنن. من فکر میکنم آموزشهای ویدیویی بسیار تاثیرگذاری بیشتری داره. ولی در کل واقعا به این نکته اعتقاد دارم که افرادی که دارن اینجا فعالیت میکنن صد در صد با ایجاد درآمد انگیزه شون دو چندان میشه.
- در مورد اینکه چه استثناهایی باید مدیریت شوند یا خیر، مطلب «نکات کار با استثناءها در دات نت» را مطالعه کنید.
- علت عمل نکردن فیلتری که به آن لینک دادید (که من با آن موافق نیستم)، این است که دیگر نباید از میانافزار مدیریت استثناهای مخصوص توسعه دهندههای ASP.NET Core در این حالت استفاده کنید، چون با آن تداخل میکند و پیش از آن وارد عمل میشود. علت دریافت صفحهی HTML ایی که مشاهده میکنید، همین مورد است. این صفحه برای برنامههای ASP.NET Core دارای Viewهای Razor طراحی شدهاست و نه مخصوص حالت کار صرفا Web API آن.
- یکی از مشکلات آن فیلتر هم این است که به هیچ عنوان نباید اصل خطای رخدادهی در سمت سرور را به سمت کلاینت ارسال کرد و به کاربر نمایش داد. این مورد امکان دیباگ از راه دور برنامهی شما را توسط یک مهاجم سهولت میبخشد و از دیدگاه امنیتی اشتباه است. این موارد را فقط باید توسط امکانات Logging توکار ASP.NET Core ثبت و در سمت سرور با «دسترسی ادمین» بررسی کنید. کاربر هم فقط باید جملهی کلی «خطایی رخ دادهاست» را مشاهده کند و نه جزئیات آنرا.
- علت عمل نکردن فیلتری که به آن لینک دادید (که من با آن موافق نیستم)، این است که دیگر نباید از میانافزار مدیریت استثناهای مخصوص توسعه دهندههای ASP.NET Core در این حالت استفاده کنید، چون با آن تداخل میکند و پیش از آن وارد عمل میشود. علت دریافت صفحهی HTML ایی که مشاهده میکنید، همین مورد است. این صفحه برای برنامههای ASP.NET Core دارای Viewهای Razor طراحی شدهاست و نه مخصوص حالت کار صرفا Web API آن.
- یکی از مشکلات آن فیلتر هم این است که به هیچ عنوان نباید اصل خطای رخدادهی در سمت سرور را به سمت کلاینت ارسال کرد و به کاربر نمایش داد. این مورد امکان دیباگ از راه دور برنامهی شما را توسط یک مهاجم سهولت میبخشد و از دیدگاه امنیتی اشتباه است. این موارد را فقط باید توسط امکانات Logging توکار ASP.NET Core ثبت و در سمت سرور با «دسترسی ادمین» بررسی کنید. کاربر هم فقط باید جملهی کلی «خطایی رخ دادهاست» را مشاهده کند و نه جزئیات آنرا.
با توجه به این مطلب با فعالسازی Development time IIS support در نصاب Visual Studio و انجام تنظیمات در Solution > Properties > Debug امکان اجرا و تست برنامههای مبتنی بر Asp.Net Core در هنگام توسعه بر روی IIS و دسترسی به آن از طریق دیگر کلاینتها با آدرس تعریف شده وجود دارد:
که معادل است با استفاده از فایل launchSettings.json با تنظیمات زیر:
{
"iisSettings": {
"windowsAuthentication": false,
"anonymousAuthentication": true,
"iis": {
"applicationUrl": "http://localhost/WebApplication2",
"sslPort": 0
}
},
"profiles": {
"IIS": {
"commandName": "IIS",
"launchBrowser": "true",
"launchUrl": "http://localhost/WebApplication2",
"environmentVariables": {
"ASPNETCORE_ENVIRONMENT": "Development"
}
}
}
}
- مثالی که در GitHub هست، در حقیقت آخرین نگارش موجود یا حاصل نهایی کل این سری است. بنابراین برای راه اندازی آن نیاز است قسمت آخر و تنظیم مجوز ssl آنرا رعایت کنید تا بتوانید آنرا اجرا کنید. خصوصا قسمت «تنظیم مجوز امضای توکنهای IDP » آن + مطلب «اجبار به استفادهی از HTTPS در حین توسعهی برنامههای ASP.NET Core 2.1» را هم باید پیگیری کنید. نیاز هست مجوز SSL آزمایشی ASP.NET Core را به «Trusted Root Certification Authorities/Certificates» منتقل کنید که در آن مطلب توضیح داده شدهاست.
- یا مراجعه کنید به لیست commits آن و در اینجا هر مرحله را جداگانه دریافت و اجرا کنید. هر کامیت متناظر با یک قسمت است.
وب به سمتی پیش رفته که کاربران زیادی از تلفن همراه ، تبلتها و دیگر عامل ها(Agent) جهت مرور صفحات وب استفاده میکنند. در نتیجه تعداد کاربرانی که مدام در حال حرکت به مرور صفحات وب و استفاده از سرویسهای برخط میپردازند رو به افزایش است. برنامههای خارج از شبکهی HTML 5 یا به عبارتی HTML5 Offline Web Applications توسعه دهنگان را قادر میسازد تا نرم افزارهای تحت وبی ارائه دهند که در حالت قطع بودن اینترنت و یا شبکه همچنان به سرویس دادن به کاربران ادامه دهد. دیگر اینگونه نیست که وب تنها در حالت برخط بودن معنی پیدا کند. یک نرم افزار مدیریت هزینهی تحت وب را بررسی کنید که روی تلفن همراه شما اجرا شده ، در محلی که دسترسی به اینترنت نیست قصد استفاده از آن را دارید. چه قدر خوب میشود که این نرم افزار به گونه ای پیاده سازی شده باشد که بتواند در حالت برون خطی (Offline) به سرویس دهی ادامه دهد به طور مثال قادر به ذخیرهی دادههای شما به صورت برون خط و همزمان سازی آنها پس از اتصال به اینترنت باشد.
برنامههای تحت وب برون خط با کمک قابلیتی به نام نهانگاه برنامه (Application Cache) کار میکنند. این قابلیت میتواند تمامی بخشهای سایت را به شکل برون خط و خارج از شبکه، ذخیره کند. با به کار گیری این ویژگی میتوان تمامی فایلهای ایستا (JavaScript , HTML , CSS , Image) بر روی ابزار کاربر ذخیره نمود.
نهانگاه برنامه چه تفاوتی با نهانگاه مرورگر (Browser cache) دارد ؟
مرورگرها برای افزایش سرعت بارگذاری سایت از نهانگاه مخصوص به خود استفاده میکنند. مرورگر اگر فایلی را در اختیار داشته باشد دیگر برای دفعات بعدی آن فایل را از سرور درخواست نمیکند. این قابلیت اگر دسترسی به شبکه قطع باشد کاربردی ندارد ، همچنین به عنوان توسعه دهنده کنترلی بر روی این قابلیت نداریم اما زمانی که از تکنولوژی برنامههای آفلاین استفاده میشود این توانایی در اختیار توسعه دهنده است که به مرورگر بگوید کدام فایلها در نهانگاه نگهداری شود ، کدام فایلها در هر بار اتصال از سرور درخواست شود و حتی اگر دریافت فایلها از مخزن با مشکل مواجه شد چه اقدامی صورت پذیرد.
برای استفاده از این ویژگی اولین باید فایلی به نام cache.manifest ایجاد کرد. این فایل باید با نوع محتوای (Mime type) مناسب برای کاربر ارسال شود. این فایل یک فایل متنی میباشد که لیست فایلهای مورد نظر ما با قواعد خاصی در آن قرار میگیرد.
همیشه اولین خط این فایل عبارت CACHE MANIFEST قرار دارد ، پس از این خط عبارت CACHE: وارد میشود و فایلهای مد نظر ما لیست میشود.
CACHE MANIFEST #Cache Section CACHE: /Content/Images/icons-18-white.png /Content/Images/icons-36-white.png /Content/Images/ajax-loader.png /Content/css /Scripts/js
ذخیرهی برخی فایلها روی سیستم کاربر ضرورتی ندارد ، برای مثال اسکریپتی که از یک وب سرویس برخط اطلاعات آب و هوا را دریافت میکند در حالت Offline کاربردی ندارد. برای مشخص کردن این فایلها یک لیست سفید آماده میکنیم.
NETWORK webService.Js
در بخش معرفی فایلهای آفلاین بازید همهی فایلهای مد نظر ما معرفی شوند اما در لیست سفید با گذاشتن ستاره به مرورگر اعلام میکنیم که هر فایل و مسیری که در بخش قبلی (CACHE) نیامده را همواره از سرور درخواست کن. درج ستاره در بخش NETWORK ضروری است زیرا همهی آدرسهای سایت باید در یکی از بخشهای cache.manifest قرار بگیرد ، اگر آدرسی در cache.manifest قرار نگیرد هیچگاه بارگذاری نخواهد شد.
در فایل cache.manifest میتوان یادداشت هم اضافه کرد ، تمامی کاراکتر هایی که بعد از # قرار گیرند پردازش نمیشوند. یادداشتها مفید هستند ، میتونید اطلاعات نسخهی فعلی فایل cache.manifest را در آنها قرار دهید.
مثال :
CACHE MANIFEST # 2010-06-18:v2 # Explicitly cached 'master entries'. CACHE: /favicon.ico index.html css images/ stylesheet .logo.png scripts/main.js # Resources that require the user to be online. NETWORK: login.php /myapi http://api.twitter.com
گفته شد فایل Cache.manifest باید با نوع محتوای مناسب ارسال شود ، برای تعیین نوع محتوا در وب سرور apache باید خط زیر به فایل .htaaccess اضافه شود :
AddType text/cache-manifest .appcache
در ASP.NET Web Forms میتوان از یک Generic Handler برای ارسال فایل با نوع محتوای مناسب استفاده کرد :
using System.Web;
namespace JavaScriptReference {
public class Manifest : IHttpHandler {
public void ProcessRequest(HttpContext context) {
context.Response.ContentType = "text/cache-manifest";
context.Response.WriteFile(context.Server.MapPath("Manifest.txt"));
}
public bool IsReusable {
get {
return false;
}
}
}
}
یا میتوان در یک فایل ASPX به صورتی دستی نوع محتوا را مشخص کرد :
CACHE MANIFEST # Version Jesus 3! CACHE: index.html js/Custom.js js/Utility.js styles/index.css styles/kendo.common.min.css styles/BlueOpal/loading.gif styles/BlueOpal/slider-h.gif styles/BlueOpal/slider-v.gif NETWORK: * <%@ Page Language="VB" ContentType="text/cache-manifest" ResponseEncoding="utf-8" AutoEventWireup="true" CodeFile="manifest.aspx.vb" Inherits="Configuration_manifest" %>
در ASP.NET MVC علاوه بر اینکه میتوان دستی نوع محتوای Response را مشخص کرد، میتوان یک ActionResult منحصر به فرد ایجاد کرد. یک نمونه پیاده سازی شده را اینجا مشاهده کنید.
پس از انجام همهی این پیش نیازها باید فایل cache manifest را به خصیصهی manifest برچسب html ارجاع دهیم.
<!DOCTYPE html> <html manifest="/manifest.aspx">
اکنون قسمتهای مد نظر سایت ما در حالت عدم دسترسی به شبکه نیز قابل استفاده میباشد. حتی این ویژگی در حالت برخط صفحات ما با سرعت بالاتری بارگذاری شوند.
خصیصهی manifest تمامی فایلهای HTML باید مقدار گیرد در غیر این صورت ممکن است صفحات درون نهانگاه قرار نگیرند.
برای بررسی مرورگرهایی که این ویژگی را پشتیبانی میکنند این لینک را مشاهده کنید.
سلام و ضمن تشکر؛ یک سوال داشتم که بیشتر در زمینه کارایی و بهینه سازی سیستم هست. در بخش "پیاده سازی فیلتر سفارشی JwtAuthorizeAttribute " همین مطلب یک قسمت از آن نوشتید "به ازای هر درخواست به سرور، دو بار بررسی بانک اطلاعاتی را خواهیم داشت"
برای اینکه رفت و برگشت برای هر درخواست به بانک اطلاعاتی در پروژههای بزرگ رو مدیریت بهینه کنیم چکار باید کرد؟ منظورم اینه وقتی تعداد کاربران زیاد باشه و متدهای زیادی هم در پروژه باشه که در هدر همه اونها باید این توکن و دسترسیها چک بشه ممکنه سربار زیادی روی بانک اطلاعاتی داشته باشه. برای مدیریت بهتر این موارد من دو راه تست کرده بودم :
1. توی یک متغیر استاتیک اطلاعات توکنها علاوه بر بانک اطلاعاتی ذخیره بشه و هردو با هم سینک باشند (موردی که خودتون هم اشاره فرموده بودید) بنابراین بیشترین درخواستها برای چک این مقادیر روی یک متغیر استاتیک هست که روی IIS فعال میشه و ممکنه رم زیادی البته بگیره و هر وقت هم IIS ریست شد دوباره اون لیست توکنهای استاتیک از بانک اطلاعاتی فراخوانی میشه و برای درخواستهای بعدی کاربران از اون متغیر استاتیک که لیست توکنها هست رو چک میکنه.
2. راه دوم استفاده از بانک اطلاعاتی هست که رفت و برگشت به بانک اطلاعاتی برای هر درخواست رو زیاد میکنه و ممکنه سربار زیادی داشته باشه
البته من در پروژه از بانک اطلاعاتی مونگو استفاده کردم و این لیست توکنها و کلیه بانک اطلاعاتی کاربران و غیره در اون ذخیره میشه .
سوال اینجاست که برای زمانی که کاربران زیاد و متدهای زیادی داریم که باید چک شوند راه حل بهینه برای انجام این مورد چه راهی هست؟
و اینکه آیا اگه از بانک اطلاعاتی Redis که بر روی رم قرار میگیره برای مدیریت توکنها استفاده کنیم کارایی بهتر میشه یا باز هم همون مشکل قبلی رو داریم؟
برای اینکه رفت و برگشت برای هر درخواست به بانک اطلاعاتی در پروژههای بزرگ رو مدیریت بهینه کنیم چکار باید کرد؟ منظورم اینه وقتی تعداد کاربران زیاد باشه و متدهای زیادی هم در پروژه باشه که در هدر همه اونها باید این توکن و دسترسیها چک بشه ممکنه سربار زیادی روی بانک اطلاعاتی داشته باشه. برای مدیریت بهتر این موارد من دو راه تست کرده بودم :
1. توی یک متغیر استاتیک اطلاعات توکنها علاوه بر بانک اطلاعاتی ذخیره بشه و هردو با هم سینک باشند (موردی که خودتون هم اشاره فرموده بودید) بنابراین بیشترین درخواستها برای چک این مقادیر روی یک متغیر استاتیک هست که روی IIS فعال میشه و ممکنه رم زیادی البته بگیره و هر وقت هم IIS ریست شد دوباره اون لیست توکنهای استاتیک از بانک اطلاعاتی فراخوانی میشه و برای درخواستهای بعدی کاربران از اون متغیر استاتیک که لیست توکنها هست رو چک میکنه.
2. راه دوم استفاده از بانک اطلاعاتی هست که رفت و برگشت به بانک اطلاعاتی برای هر درخواست رو زیاد میکنه و ممکنه سربار زیادی داشته باشه
البته من در پروژه از بانک اطلاعاتی مونگو استفاده کردم و این لیست توکنها و کلیه بانک اطلاعاتی کاربران و غیره در اون ذخیره میشه .
سوال اینجاست که برای زمانی که کاربران زیاد و متدهای زیادی داریم که باید چک شوند راه حل بهینه برای انجام این مورد چه راهی هست؟
و اینکه آیا اگه از بانک اطلاعاتی Redis که بر روی رم قرار میگیره برای مدیریت توکنها استفاده کنیم کارایی بهتر میشه یا باز هم همون مشکل قبلی رو داریم؟
نیاز هست بتونید برنامههای ایجکسی را دیباگ کنید:
نحوه استفاده از افزونه Firebug برای دیباگ برنامههای ASP.NET مبتنی بر jQuery
نحوه استفاده از افزونه Firebug برای دیباگ برنامههای ASP.NET مبتنی بر jQuery
طی مقاله چک لیست تولید برنامه Asp.net mvc و بررسی امنیتی ایجکس هنگام استفاده در مورد چک لیست امنیتی
سایت سرفصلهای مهم عنوان و بررسی شده است که یکی از موارد، مقاوم ساختن وب اپلیکشن در برابر حملات CSRF میباشد. اینگونه حملات بر پایه این استراتژی شکل میگیرند که با
ارسال درخواستی به نیابت از سمت سیستم/مرورگر کاربر تایید هویت شده، سایت مقصد را مجبور
به انجام عملی کند. برای مثال اگر شما در سایت a.com یک
کاربر تایید شده باشید و هم اکنون در سایت فوق نیز لاگین باشید، مهاجم با ارسال یک برنامه/صفحه یا موارد مشابه و در قالب src یک
عکس یا با ترغیب شما با کلیک بر روی یک لینک با href آلوده یا موارد
مشابه، از سمت مرورگر شما درخواستی را به سمت سایت a.com ارسال میکند .
این درخواست ممکن است شامل حذف اطلاعات، تغییر مشخصات، پرداخت هزینه یا موارد مشابه باشد. جهت مقابله با این حمله، یکی از موارد مهم، استفاده همیشگی از Html.AntiForgeryToken() در تمامی فرمهای ورود اطلاعات است. همچنین استفاده همیشگی از متد Post و بررسی تایید مبدا درخواستهای ایجکسی، بررسی http referrer ، محدود کردن طول عمر کوکی، استفاده از کپچهای قوی مانند کپچای گوگل میتواند تا حد زیادی وب اپلیکیشن را در مورد اینگونه حملات، مصون کند.
در این بین یکی از موارد دیگر، اضافه کردن AntiForgeryToken به درخواستهای ایجکسی سایت میباشد. جهت حصول این منظور، راههای مختلفی موجود است. یکی از راه حلها استفاده از یک هلپر جهت تولید توکن مورد نظر است.
ساختار
هلپر مورد نظر به شرح زیر است :
public static class AntiForgeryToken
{
public static MvcHtmlString AntiForgeryTokenForAjaxPost(this HtmlHelper helper)
{
var antiForgeryInputTag = helper.AntiForgeryToken().ToString();
// Above gets the following: <input name="__RequestVerificationToken" type="hidden" value="some value" />
var removedStart = antiForgeryInputTag.Replace(@"<input name=""__RequestVerificationToken"" type=""hidden"" value=""", "");
var tokenValue = removedStart.Replace(@""" />", "");
if (antiForgeryInputTag == removedStart || removedStart == tokenValue)
throw new InvalidOperationException("Oops! The Html.AntiForgeryToken() method seems to return something I did not expect.");
return new MvcHtmlString($@"{"__RequestVerificationToken"}:""{tokenValue}""");
}
} در مرحله بعد طبق الگوی زیر، درخواست ایجکسی به همراه توکن تولید شده و به کنترلر ارسال خواهد شد:
function AddToCart(pid) {
$.ajax({
url: '@Url.Action("AddToBasket","Shop")',
data: { 'pid': pid,@Html.AntiForgeryTokenForAjaxPost() },
type: 'post',
success:function(e) {
//do something
}
});
} در مرحله آخر، باید کنترلر مورد نظر شامل ویژگیهای [HttpPost] [ValidateAntiForgeryToken] باشد تا صحت توکن تولیدی را بررسی کند و در صورت نامعتبر بودن، از اجرای دستورات جلوگیری گردد.
همانطوری که میدونید نسخه
MVC 4 RC در دسترس قرار گرفته و خالی از لطف نیست که یک بررسی درباره امکانات جدیدش انجام بشه.ابتدا سعی میکنم یک لیست کلی از امکانان این تکنولوژی داشته باشیم و بعد نگاهی هم به Razor و تغییراتش خواهیم داشت.
ASP.NET Web API
Refreshed and modernized default project templates
New mobile project template
Many new features to support mobile apps
Recipes to customize code generation
Enhanced support for asynchronous methods
لیست فوق شامل برترین ویژگیهای این نسخه است که در پستهای آینده هر کدام از اینها بررسی خواهند شد.
تغییرات Razor
Razor از نسخه MVC4 Beta شاهد تغییرات و بهبود هایی بود که این تغییرات بنیادی و رادیکالی نبودند و فقط درجهت بهبود حس کاربری آن صورت گرفت. این حس از آن جهت است که شما نیاز به نوشتن کد کمتری دارید.
استفاده نکردن از Url.Content@
در نسخه قبلی از امکان ذکر شده برای مشخص کرده مسیرهای CSS و فایلهای .JS هم استفاده میشد حالا بجای استفاده از آن میشود:
در نسخههای قبلی:
در نسخه 4:
<script src="@Url.Content("~/Scripts/Site.js")"></script>
<script src="~/Scripts/Site.js"></script>
زمانی که Razor حرف را ~/ تشخیص میدهد خروجی یکسانی با حالت قبلی برای ما درست میکند.
شرط ها(Conditions)
در نسخه قبلی برای استفاده از attribute ها که ممکن بود Null باشند مجبور به چک کردن آنها بودیم:
<div @{if (myClass != null) { <text>class="@myClass"</text> } }>Content</div>
اما حالا با خیال راحت میتوان نوشت:
<div class="@myClass">Content</div>
که اگر attribute ما null باشد به صورت اتوماتیک تشخیص داده میشود و کد زیر رندر میشود
<div>Content</div>
در ضمناً کد بالا فقط مربوط به چک کردن Nullable نیست و از آن میتوان در Booleanها هم استفاده کرد.
<input checked="@ViewBag.Checked" type="checkbox"/>
که اگر مقدار True نباشد:
<input type="checkbox"/>
بطور خلاصه میشه گفت MVC4 تغییراتش نسبت به نسخه قبلی تو خیلی از زمینهها مربوط میشه بهبود ابزارهای موجود در کل کار با این ایزار بسیار برای من لذت بخشه.
ادامه دارد...
در ادامه دوره مقدماتی mvc که قبلا در سایت به اشتراک گذاشته شده بود.دوره جدیدی رو مایکروسافت منتشر کرده با عنوان توسعه برنامههای MVC که سرفصلهای آن را در بخش زیر مشاهده میکنید:
Mod 01: Introduction to MVC 4 Mod 02: Developing ASP.NET MVC 4 Models Mod 03: Developing MVC 4 Controllers Mod 04: Developing ASP.NET MVC 4 Views Mod 05: Integrating JavaScript and MVC 4 Mod 06: Implementing Web APIs Mod 07: Deploying to Windows Azure Mod 08: Visual Studio 2013/MVC 5 Sneak Peek
